اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• قراصنة من الصين يستغلون ثغرة في Fortinet، مما أدى إلى إصابة 20 ألف نظام عالميًّا.

• مهاجمون يستخدمون برامج خبيثة لجهاز F5 BIG-IP لسرقة البيانات بشكل خفي على مدى سنوات.

• أخطاء مزيفة في Google Chrome تخدعك لتشغيل برامج PowerShell خبيثة.

• اكتشف برنامج TeamViewer خرق أمني في تقنية المعلومات الخاصة بالشركة.

• برامج فدية Eldorado تستهدف أنظمة التشغيل Windows و VMware ESXi VMs.

مخاطر وثغرات

• يصلح TikTok ثغرة أمنية استُخدمت لاختراق حسابات رفيعة المستوى. 

• تصلح PHP ثغرة أمنية حرجة تؤثر على جميع الإصدارات لنظام Windows.

• تحذر Google من ثغرة أمنية في Firmware هواتف Pixel تم استغلالها كثغرة "Zero-Day".

• تصدر VMware تصحيحات لـ Cloud Foundation، vCenter Server، وvSphere ESXi.

• تحذر Cisco من ثغرة في NX-OS يتم استغلالها لنشر برمجيات ضارة.

معلومة أمنية

• ثلاث طرق أساسية يستهدفك بها مهاجمو الإنترنت

            

قراصنة من الصين يستغلون ثغرة في Fortinet، مما أدَّى إلى إصابة 20 ألف نظام عالميًّا

12 يونيو 2024

تمكن قراصنة مدعومون من الدولة الصينية من الوصول إلى 20,000 نظام Fortinet FortiGate في جميع أنحاء العالم عن طريق استغلال ثغرة أمنية حرجة معروفة بين عامي 2022 و 2023، مما يشير إلى أن العملية كان لها تأثير أوسع مما كان معروفًا سابقًا.

أفاد المركز الوطني الهولندي للأمن السيبراني NCSC)): "كان الممثل الحكومي وراء هذه الحملة على علم بهذه الثغرة في أنظمة FortiGate قبل ما لا يقل عن شهرين من كشف Fortinet عن الثغرة"، قال المركز الوطني الهولندي للأمن السيبراني (NCSC) في نشرته الجديدة. "خلال هذه الفترة المعروفة بـ 'Zero-day، نجح الفاعل بمفرده في إصابة 14,000 جهاز."

استهدفت الحملة العديد من الحكومات الغربية، والمنظمات الدولية، وعددًا كبيرًا من الشركات في صناعة الدفاع. لم يتم الكشف عن أسماء هذه الكيانات.

الاكتشافات تأتي كتكملة لتقرير سابق من فبراير 2024، الذي أوضح أن المهاجمين قد اخترقوا شبكة الحاسوب المستخدمة من قبل القوات المسلحة الهولندية عن طريق استغلال CVE-2022-42475 درجة (CVSS: 9.8)، مما يسمح بتنفيذ التعليمات عن بُعد.

الاختراق فتح الطريق لنشر برنامج خلفي يُعرف باسم COATHANGER من خادم تحكم به المهاجم والمصمم لمنح الوصول البعيد المستمر إلى الأجهزة المصابة، ويعمل كنقطة انطلاق للمزيد من البرمجيات الخبيثة.

وأوضح المركز الوطني للأمن السيبراني NCSC أن الخصم اختار تثبيت البرمجيات الخبيثة بعد فترة طويلة من الحصول على الوصول الأولي بهدف الحفاظ على السيطرة على الأجهزة، على الرغم من عدم وضوح عدد الضحايا الذين تمت إصابة أجهزتهم. 

تؤكد التطورات الأخيرة مرة أخرى الاتجاه المستمر للهجمات السيبرانية التي تستهدف الأجهزة الطرفية لاختراق الشبكات المستهدفة.

أوضح المركز الوطني للأمن السيبراني NCSC: "نظرًا للتحديات الأمنية للأجهزة الطرفية فإن هذه الأجهزة هدف شائع للمهاجمين الخبيثين. تقع الأجهزة الطرفية عند حافة الشبكة المعلوماتية ولديها اتصال مباشر بالإنترنت بشكل منتظم. بالإضافة إلى ذلك، غالبًا ما لا تكون هذه الأجهزة مدعومة بحلول الكشف والاستجابة على النقاط النهائية (Endpoint Detection and Response - EDR)".
 

مهاجمون يستخدمون برامج خبيثة لجهاز F5 BIG-IP لسرقة البيانات بشكل خفي على مدى سنوات
 

17 يونيو 2024

مجموعة من المشتبه بهم في الاستخبارات السيبرانية الصينية تُدعى "Velvet Ant" تستخدم برامج ضارة مخصصة على أجهزة F5 BIG-IP للحصول على اتصال دائم بالشبكة الداخلية وسرقة البيانات.

وفقًا لتقرير من Sygnia الذي اكتشف الاختراق بعد أن تم استدعاؤهم للتحقيق في الهجوم السيبراني، أنشأت Velvet Ant عدة نقاط انطلاق باستخدام نقاط دخول متنوعة عبر الشبكة، بما في ذلك جهاز F5 BIG-IP القديم الذي يعمل كخادم تحكم داخلي (command and control - C2).

باستخدام أجهزة F5 BIG-IP المخترقة، تمكنت فرقة المهاجمين من سرقة معلومات حساسة للعملاء والمعلومات المالية من الشركة بشكل خفي لمدة ثلاث سنوات دون اكتشافهم.

الهجوم الذي لاحظته Sygnia بدأ باختراق جهازين قديمين من طراز F5 BIG-IP المستخدمين من قبل المنظمة الضحية كجدار ناري وواق لتطبيقات الويب (WAF)، وموازنة التحميل load balancing، وإدارة حركة المرور المحلية local traffic management.

تم الكشف عن كلا الجهازين عبر الإنترنت وكانا يعملان بإصدارات أنظمة تشغيل ضعيفة. وفقًا لـ Sygnia، تم اختراق كل منهما باستخدام ثغرات معروفة في تنفيذ التعليمات عن بُعد لتثبيت برامج ضارة مخصصة على الأجهزة الشبكية.

بعد ذلك، استخدم المهاجمون هذا الوصول للدخول إلى خوادم الملفات الداخلية حيث نشروا PlugX، وهو حصان طروادة للوصول عن بعد (remote access Trojan - RAT)، والذي يستخدمه المهاجمون منذ أكثر من عقد لجمع البيانات ونقلها إلى خارج النظام.

البرامج الضارة الأخرى التي تم نشرها على جهاز F5 BIG-IP تشمل:

• PMCD: يقوم بالاتصال بخادم القيادة والتحكم C&C كل ساعة وتنفيذ الأوامر التي يتلقونها من الخادم عبر 'c shell'، مما يسمح بالتحكم عن بعد.

• MCDP: يقوم بالتقاط حزم الشبكة، يتم تنفيذه باستخدام معامل "management mgmt." للبطاقة الشبكية، مما يضمن مراقبة شبكية مستمرة.

• SAMRID (EarthWorm): برنامج SOCKS proxy tunnel مفتوح المصدر يستخدم لإنشاء أنفاق آمنة، تم استخدامه سابقًا من قبل مجموعات مدعومة من الدولة الصينية.

• ESRDE: يشبه PMCD في استخدام 'bash' لتنفيذ الأوامر، مما يسمح بالتحكم في الأوامر عن بُعد والاستمرارية.

استخدم المهاجمون جهاز F5 BIG-IP المخترق للحفاظ على الثبات في الشبكة، مما يسمح لهم بالوصول إلى الشبكة الداخلية مع دمج حركة المرور الهجومية مع حركة المرور الشبكية الشرعية، مما يجعل الكشف أكثر صعوبة.

يتجاوز هذا الأسلوب جدران الحماية النارية في الشركات ورفع قيود حركة المرور الصادرة، مما يتيح للمهاجمين سرقة معلومات العملاء والمعلومات المالية دون إثارة أجراس الإنذار لمدة تقارب الثلاث سنوات.

تقارير Sygnia تشير إلى أنه على الرغم من الجهود الواسعة للقضاء على الاختراق بعد اكتشافه، قام المهاجمون باستخدام إعادة نشر PlugX بتكوينات جديدة لتجنب الكشف، باستخدام أجهزة داخلية مخترقة مثل أجهزة F5 للحفاظ على الوصول.

التوصيات الدفاعية:

لمواجهة مجموعات التهديد المتطورة والمستمرة مثلVelvet Ant ، يتطلب الأمر نهجًا أمنيًّا شاملًا ومتعدد الطبقات.

توصي Sygnia باتخاذ الإجراءات التالية لاكتشاف الهجمات:

• تقيد الاتصالات الصادرة للحد من التواصل مع خوادم القيادة والسيطرة (C&C).

• تنفيذ ضوابط صارمة على منافذ الإدارة وتعزيز تقسيم الشبكة.

• إعطاء الأولوية لاستبدال الأنظمة التقليدية وتشديد الضوابط الأمنية.

• نشر أنظمة EDR قوية مع ميزات مكافحة التلاعب وتمكين إجراءات أمان مثل Windows Credential Guard.

• تعزيز الأمان لأجهزة الطرفية من خلال إدارة التصحيحات وكشف التسلل والانتقال إلى حلول مستندة إلى السحابة.

بما أن أجهزة الشبكة على الحافة لا تدعم عادةً حلول الأمان وتُعتبر معرضة للإنترنت، فقد أصبحت أهدافًا شائعة للمهاجمين للحصول على الوصول الأولي إلى الشبكة.

في عام 2023، استغل مهاجمون مرتبطون بالصين ثغرات صفرية في أجهزة Fortinet لتثبيت برمجية خبيثة مخصصة لسرقة البيانات والانتقال إلى خوادم VMware ESXi وvCenter.

بعد أسابيع، استهدفت حملة قرصنة مشتبه بها من الصين أجهزة SonicWall Secure Mobile Access (SMA) التي لم يتم إصلاحها لتثبيت برمجيات ضارة مخصصة.

في أبريل 2023، حذرت الولايات المتحدة والمملكة المتحدة من أن مهاجمي APT28 المدعومين من الدولة الروسية كانوا ينشرون برمجيات ضارة مخصصة باسم 'Jaguar Tooth' على أجهزة توجيه Cisco IOS.

في مايو 2023، تم استغلال أجهزة Barracuda ESG لمدة سبعة أشهر لنشر برمجيات ضارة مخصصة وسرقة البيانات. كان التأثير على هذه الأجهزة واسع الانتشار لدرجة أن شركة Barracuda أوصت بأن تقوم الشركات باستبدال الأجهزة المخترقة بدلاً من محاولة استعادتها.

في الآونة الأخيرة، استغل مهاجمون مشتبه بهم، والذين ترعاهم الدولة، ثغرة صفرية في أجهزة Palo Alto Networks لتثبيت باب خلفي مخصص لاختراق الشبكات الداخلية وسرقة البيانات، وبيانات الاعتماد.

أرسلت شركة F5 البيان التالي بشأن حالة انتهاك المهاجمين لحلولها، كما وصف أعلاه.

تقدر F5 الفرصة للعمل مع أطراف ثالثة لتحديد وحل المشكلات نيابة عن عملائها. بينما تعمل المؤسسات على مواكبة التعقيد المتزايد في بنيتها التحتية والتطور المتزايد للتهديدات السيبرانية المتزايد.

كما أوصت الشركة العملاء بما يلي:

• تشغيل أحدث إصدار من البرمجيات لتحسين أمان وأداء أنظمتهم،

• عدم تعريض شبكة السيطرة لمصادر غير موثوق بها بما في ذلك الإنترنت،

• استخدام أداة BIG-IP iHealth Diagnostic للتحقق من التشغيل السليم لنظامهم وضمان أنه يعمل بأقصى كفاءة.

أخطاء مزيفة في Google Chrome تخدعك لتشغيل برامج PowerShell خبيثة 

17 يونيو 2024

حملة برمجيات ضارة جديدة تستخدم أخطاء مزيفة في Google Chrome، Word، وOneDrive لخداع المستخدمين لتشغيل "إصلاحات" ضارة بواسطة PowerShell لتثبت برمجيات ضارة.

استخدام هذه الحملة الجديدة من قبل عدة جهات هجومية، بما في ذلك الجهات التي تقف وراء ClearFake ومجموعة هجمات جديدة تُعرف باسم ClickFix، بالإضافة إلى جهاز التهديد TA571 المعروف بأنه موزع لرسائل البريد الإلكتروني بكميات كبيرة، مما يؤدي إلى عدوى برمجيات ضارة وبرامج فدية.

في هجمات ClearFake السابقة، يستخدم المهاجمون مواقع الويب التي تطلب من الزوار تثبيت تحديث مزيف للمتصفح يثبت برمجيات ضارة.

تستخدم الجهات الفاعلة أيضًا JavaScript في مرفقات HTML ومواقع الويب المخترقة في الهجمات الجديدة. ومع ذلك، تعرض التراكبات الآن أخطاء مزيفة في Google Chrome وMicrosoft Word وOneDrive.

تطالب هذه الأخطاء الزائر بالنقر فوق زر "إصلاح" لنسخ PowerShell إلى الحافظة ثم لصقه وتشغيله في نافذة Run أو في نافذة PowerShell.

يحذر تقرير جديد من ProofPoint بأنه "على الرغم من أن سلسلة الهجمات تتطلب تفاعلًا كبيرًا من المستخدم لتكون ناجحة، فإن الهندسة الاجتماعية كافية لتقديم مشكلة وحل تبدو وكأنها حقيقية في نفس الوقت، مما قد يدفع المستخدم إلى اتخاذ إجراء دون النظر في المخاطر".

الحمولات التي تم رصدها من قبل Proofpoint تشمل DarkGate، Matanbuchus، NetSupport، Amadey Loader، XMRig، clipboard hijacker، وLumma Stealer.

"إصلاح" PowerShell يؤدي إلى ظهور برامج ضارة

محللو Proofpoint لاحظوا ثلاث سلاسل هجومية تختلف بشكل أساسي في مراحلها الأولية، حيث إن السلسلة الأولى هي الوحيدة التي لم يُنسب بشكل مؤكد ارتباطها بـ TA571 بشكل عالٍ.

في هذه الحالة الأولى، المرتبطة بجهات التهديد وراء ClearFake، يقوم المستخدمون بزيارة موقع ويب مخترق يحمل نصًا برمجيًا ضارًا مستضافًا على سلسلة كتل blockchain من خلال عقود Binance's Smart Chain.

يقوم هذا البرنامج النصي بإجراء بعض الفحوصات ويعرض تحذيرًا مزيفًا من Google Chrome يفيد بوجود مشكلة في عرض صفحة الويب. بعد ذلك، يطلب الحوار من الزائر تثبيت "root certificate" عن طريق نسخ برنامج PowerShell إلى الحافظة في Windows وتشغيله في وحدة تحكم Windows PowerShell (Admin). 

عند تنفيذ برنامج PowerShell، سيقوم بتنفيذ خطوات مختلفة للتأكد من أن الجهاز هدف صالح، ثم سيقوم بتنزيل حمولات إضافية.

السلسلة الهجومية الثانية مرتبطة بحملة "ClickFix" وتستخدم الحقن في المواقع المخترقة التي تنشئ iframe ليعرض رسالة خطأ مزيفة أخرى لـ Google Chrome.

يُطلب من المستخدمين فتح "Windows PowerShell (Admin)" ولصق الكود المقدم، مما يؤدي إلى نفس العدوى المذكورة أعلاه.

أخيرًا، تستخدم سلسلة العدوى عبر البريد الإلكتروني مرفقات HTML تشبه مستندات Microsoft Word، حيث تطلب من المستخدمين تثبيت "Word Online" لعرض المستند بشكل صحيح.

تقدم رسالة الخطأ خيارات "كيفية الإصلاح" و "إصلاح تلقائي"، حيث يقوم خيار "كيفية الإصلاح" بنسخ أمر PowerShell المُشفر بترميز base64 إلى الحافظة، مع تعليم المستخدم لصقه في PowerShell.

خيار "إصلاح تلقائي" يستخدم بروتوكول search-ms لعرض ملف "fix.msi" أو "fix.vbs" المستضاف على WebDAV لمشاركة ملفات يتم التحكم فيها عن بُعد بواسطة المهاجم.

في هذه الحالة، تقوم أوامر PowerShell بتنزيل وتنفيذ ملف MSI أو برنامج VBS، مما يؤدي إلى الإصابة بـ Matanbuchus أو DarkGate على التوالي.

في جميع الحالات، يستغل المهاجمون عدم وعي أهدافهم بمخاطر تنفيذ أوامر PowerShell على أنظمتهم.

كما يستفيدون من عدم قدرة نظام التشغيل Windows على اكتشاف وحظر الإجراءات الخبيثة التي بدأتها الأوامر الملصقة.

تُظهر السلاسل الهجومية المختلفة أن TA571 يقوم بتجريب أساليب متعددة بنشاط لزيادة الفعالية وإيجاد مزيد من مسارات العدوى لاختراق عدد أكبر من الأنظمة.
 

اكتشف برنامج TeamViewer خرق أمني في تقنية المعلومات الخاصة بالشركة

28 يونيو 2024

أعلنت TeamViewer أنها اكتشفت "مخالفة" في بيئة تقنية المعلومات الداخلية الخاصة بالشركة في 26 يونيو 2024.

وأعلنت الشركة في بيان: "قمنا فورًا بتفعيل فريق الاستجابة والإجراءات، وبدأنا التحقيقات بالتعاون مع فريق من خبراء الأمن السيبراني العالميين وطبقنا التدابير التصحيحية اللازمة."

وأشارت أيضًا إلى أن بيئة تقنية المعلومات الخاصة بالشركة معزولة تمامًا عن بيئة المنتج، وأنه لا يوجد أي دليل يشير إلى أن بيانات العملاء قد تأثرت نتيجة للحادث.

لم تفصح الشركة عن أي تفاصيل حول من قد يكون وراء الاختراق وكيف تمكنوا من القيام بذلك، لكنها أفادت إن التحقيق جارٍ وأنها ستوفر تحديثات للحالة عندما تتوفر معلومات جديدة.

يقع مقر TeamViewer في ألمانيا، وهي الشركة المطورة لبرنامج المراقبة والإدارة عن بُعد (remote monitoring and management - RMM) الذي يسمح لمقدمي الخدمات المُدارة (managed service providers - MSPs) وأقسام تقنية المعلومات بإدارة الخوادم ومحطات العمل وأجهزة الشبكة والنقاط الطرفية. يستخدمه أكثر من 600 ألف عميل.

ومن المثير للاهتمام أن مركز تبادل وتحليل المعلومات الصحية في الولايات المتحدة (Health-ISAC) أصدر نشرة حول استغلال جهات تهديدية نشطة لـ TeamViewer، وفقًا لجمعية المستشفيات الأمريكية (American Hospital Association - AHA).

أفادت المنظمة: "لوحظ أن الجهات التهديدية تستغل أدوات الوصول عن بُعد". "تمت ملاحظة استغلال TeamViewer من قبل الجهات التهديدية المرتبطة بـ APT29."

لا يزال من غير الواضح في هذه المرحلة ما إذا كان هذا يعني أن المهاجمين يستغلون نقاط الضعف في TeamViewer لاختراق شبكات العملاء، أو يستخدمون ممارسات أمنية سيئة لاختراق الأهداف ونشر البرنامج، أو أنهم نفذوا هجومًا على أنظمة TeamViewer نفسها.

APT29، المعروفة أيضًا بأسماء BlueBravo وCloaked Ursa وCozy Bear وMidnight Blizzard وThe Dukes، هي جهة تهديد ترعاها الدولة وترتبط بجهاز الاستخبارات الخارجية الروسي (SVR). مؤخرًا، ارتبطت هذه الجهة بالاختراقات التي طالت Microsoft وHewlett Packard Enterprise (HPE).

كشفت Microsoft منذ ذلك الحين أن بعض صناديق البريد الإلكتروني للعملاء تم الوصول إليها أيضًا من قبل APT29 بعد الاختراق الذي ظهر في وقت سابق من هذا العام، وفقًا لتقارير من Bloomberg وReuters.

ونُقل عن الشركة لوكالة الأنباء: "هذا الأسبوع نواصل إبلاغ العملاء الذين تواصلوا مع حسابات البريد الإلكتروني التابعة لشركة Microsoft والتي تم تسريبها من قبل جهة التهديد Midnight Blizzard ".

نسبت TeamViewer الهجوم إلى APT29، مشيرة إلى أنه استهدف بيانات الاعتماد المرتبطة بحساب موظف داخل بيئة تقنية المعلومات الخاصة بالشركة.

وأعلنت في تنبيه معدّل: "استنادًا إلى المراقبة الأمنية المستمرة، حددت فرقنا سلوكًا مريبًا لهذا الحساب وبدأت فورًا في اتخاذ تدابير الاستجابة للحوادث". "لا يوجد دليل على أن جهة التهديد وصلت إلى بيئة منتجاتنا أو بيانات العملاء."

وقد أوصت مجموعة NCC، التي أبلغت لأول مرة عن الخرق عبر إفصاح محدود بسبب الاستخدام الواسع للبرنامج، بإزالة البرنامج "حتى تتوفر مزيد من التفاصيل حول نوع الانتهاك  الذي تعرض له TeamViewer".
 

برامج فدية Eldorado تستهدف أنظمة التشغيل Windows وVMware ESXi VMs

5 يوليو 2024

ظهرت برامج الفدية كخدمة (RaaS) جديدة تسمى Eldorado، وتأتي مع متغيرات مقفلة لأنظمة VMware ESXi وWindows.

العصابة قد أوقعت بالفعل 16 ضحية، معظمهم في الولايات المتحدة، في قطاعات العقارات، والتعليم، والرعاية الصحية، والتصنيع.

رصد باحثون في شركة الأمن السيبراني Group-IB نشاط Eldorado ولاحظوا أن مشغليه يروجون للخدمة الضارة على منتديات RAMP ويبحثون عن شركاء مؤهلين للانضمام إلى البرنامج.

كما أن Eldorado يدير موقعًا لتسريب البيانات يقوم بعرض قوائم الضحايا، ولكن كان الموقع غير متاح في وقت الكتابة.

الفدية Eldorado تستهدف القطاعات التالية وفقًا لتقرير من Group-IB

Eldorado هو برنامج فدية يعتمد على لغة Go، ويمكنه تشفير منصات Windows و Linux من خلال متغيرات متميزة تتمتع بتشابه تشغيلي شامل.

حصل الباحثون من المطور على برنامج تشفير، والذي جاء مع دليل مستخدم الذي يشير إلى وجود متغيرات 32/64 بت لأنظمة VMware ESXi وWindows.

أعلنت Group-IB أن Eldorado هو تطوير فريد "لا يعتمد على مصادر البناء التي تم نشرها سابقًا."

يستخدم البرنامج الضار خوارزمية ChaCha20 للتشفير ويولد مفتاحًا فريدًا من 32 بايت ورمزًا عشوائيًا nonce مكونًا من 12 بايت لكل من الملفات المشفرة. يتم تشفير المفاتيح والـ nonces بواسطة RSA باستخدام نظام التعبئة الأمثل للتشفير غير المتماثل (Optimal Asymmetric Encryption Padding - OAEP).

بعد مرحلة التشفير، تتم إضافة امتداد ".00000001" إلى الملفات ويتم وضع ملاحظات الفدية بأسماء "HOW_RETURN_YOUR_DATA.TXT" في مجلدات Documents وDesktop.

Eldorado يشفر أيضًا المشاركات في الشبكة باستخدام بروتوكول الاتصال SMB لزيادة تأثيره، ويقوم بحذف نسخ الأقراص (shadow volume copies) على أجهزة Windows المخترقة لمنع استعادة البيانات.

البرنامج الضار يتجاوز ملفات DLLs وLNK وSYS وEXE، بالإضافة إلى الملفات والمجلدات المرتبطة بتشغيل النظام والوظائف الأساسية لمنع جعل النظام غير قابل للتشغيل/الاستخدام.

وأخيرًا، تم ضبطه افتراضيًا للحذف الذاتي لتفادي الكشف والتحليل من قبل فرق الاستجابة.

وفقًا لباحثي Group-IB، الذين تمكنوا من التسلل إلى العملية، يمكن للشركات التابعة تخصيص هجماتها. على سبيل المثال، في نظام Windows يمكنهم تحديد المجلدات التي يرغبون في تشفيرها، تجاوز الملفات المحلية، استهداف المشاركات في الشبكة على الشبكات الفرعية المحددة، ومنع الحذف الذاتي للبرامج الضارة.

أما على نظام Linux، فإن معلمات التخصيص تتوقف عند تعيين المجلدات للتشفير فقط.

تسلط Group-IB الضوء على تهديد فدية البرمجيات الخبيثة Eldorado كعملية جديدة مستقلة، ولم تظهر كإعادة تسمية لمجموعة أخرى.

يوصي الباحثون بالدفاعات التالية، التي يمكن أن تساعد في الحماية ضد جميع هجمات البرمجيات الخبيثة، بشكل مؤقت:

• تنفيذ المصادقة متعددة العوامل (multi-factor authentication - MFA) وحلول الوصول إلى بيانات الاعتماد.

• استخدام كشف النهاية والاستجابة (Endpoint Detection and Response - EDR) للتعرف بسرعة والاستجابة لمؤشرات فدية البرمجيات الخبيثة.

• إجراء نسخ احتياطية للبيانات بانتظام لتقليل الأضرار وفقدان البيانات.

• استخدام التحليلات القائمة على الذكاء الاصطناعي واختبار البرمجيات الخبيثة المتقدمة للاكتشاف والاستجابة في الوقت الفعلي لاختراقات الأمان.

• الأولوية لتطبيق التصحيحات الأمنية وتطبيقها بشكل دوري لإصلاح الثغرات.

• تثقيف وتدريب الموظفين للتعرف على التهديدات الأمنية والإبلاغ عنها.

• إجراء تدقيقات فنية سنوية أو تقييمات أمنية والحفاظ على النظافة الرقمية.

• تجنب دفع الفدية لأنه نادراً ما يضمن استعادة البيانات ويمكن أن يؤدي إلى المزيد من الهجمات.

يصلح TikTok ثغرة أمنية استُخدمت لاختراق حسابات رفيعة المستوى  

4 يونيو 2024

قام مهاجمون باختراق حسابات تيك توك رفيعة المستوى تابعة لشركات ومشاهير متعددين، مستغلين ثغرة أمنية من نوع "Zero-Day" في ميزة الرسائل المباشرة على وسائل التواصل الاجتماعي.

ثغرات " Zero-Day" هي ثغرات أمنية لا يوجد لها تصحيح رسمي أو معلومات علنية توضح بالتفصيل نقطة الضعف الأساسية.

بعد تعرضها للاختراق، كان يجب إيقاف حسابات المستخدمين العائدة لشركات مثل Sony وCNN وغيرها لمنع إساءة الاستخدام. كان حساب CNN هو الأول الذي تم اختراقه الأسبوع الماضي، كما أفاد موقع Semaphor.

كما ذكرت مجلة Forbes، أن الثغرة التي استخدمها المهاجمون لاختراق الحسابات عبر الرسائل المباشرة تتطلب فقط من الأهداف فتح الرسالة الخبيثة، ولا تحتاج إلى تحميل حمولة ضارة أو النقر على روابط مدمجة.

أفاد Jason Grosse، المتحدث باسم TikTok: "فريقنا الأمني على علم بثغرة محتملة تستهدف عددًا من الحسابات رفيعة المستوى".

وأضاف: "لقد اتخذنا إجراءات لوقف هذا الهجوم ومنع حدوثه في المستقبل. نحن نعمل مباشرة مع أصحاب الحسابات المتأثرة لاستعادة الوصول إذا لزم الأمر".

وفقًا لـ Grosse، فقد تمكن المهاجمون من اختراق "عدد صغير" فقط من حسابات TikTok، بناءً على "التحليل الأولي". ولم تكشف الشركة بعد عن العدد الدقيق للمستخدمين المتضررين ولم تشارك أي تفاصيل بشأن الثغرة المُستغلة حتى يتم إصلاح الضعف الأساسي.

ليست هذه هي الثغرة الأولى التي تؤثر على مستخدمي TikTok في السنوات الأخيرة. مؤخرًا، قامت الشركة بإصلاح ثغرة في تطبيق أندرويد اكتشفته مايكروسوفت في أغسطس 2022، والتي سمحت للهاكرز بالاستيلاء على الحسابات "بسرعة وهدوء" بنقرة واحدة.

في السابق، قامت الشركة بإصلاح ثغرات أمنية سمحت للمهاجمين بتجاوز حماية الخصوصية في المنصة وسرقة معلومات المستخدمين الخاصة، بما في ذلك أرقام الهواتف ومعرفات المستخدمين.

كما أصلحت الشركة ثغرات مكنت المهاجمين من اختراق حسابات المستخدمين الذين سجلوا عبر تطبيقات الطرف الثالث واستغلال الحسابات للتحكم في فيديوهات أصحابها وسرقة معلوماتهم الشخصية.

تجاوز TikTok مليار مستخدم في سبتمبر 2021، ولديه حاليًا أكثر من مليار عملية تنزيل على متجر جوجل بلاي و17 مليون تقييم على متجر تطبيقات iOS.

تصلح PHP ثغرة أمنية حرجة تؤثر على جميع الإصدارات لنظام Windows 

07 يونيو 2024 
 
 

الكشف عن ثغرة جديدة في PHP لنظام Windows تسمح بتنفيذ التعليمات البرمجية عن بُعد (remote code execution RCE)، والتي تؤثر على جميع الإصدارات منذ الإصدار 5.x، مما قد يؤثر على عدد هائل من الخوادم حول العالم.

PHP هي لغة برمجة مفتوحة المصدر تُستخدم على نطاق واسع في تطوير الويب وتُستخدم عادةً على خوادم Windows وLinux.

تم اكتشاف الثغرة الجديدة، التي تحمل الرمزCVE-2024-4577، من قبل باحث الأمن الرئيس في Devcore Orange Tsai، في 7 مايو 2024، الذي أبلغ عنها لمطوري PHP.

ومع ذلك، فإن تطبيق التحديثات الأمنية على مشروع واسع الانتشار كهذا يعد أمرًا معقدًا وقد يترك عددًا كبيرًا من الأنظمة عرضة للهجمات لفترات طويلة.

لسوء الحظ، عندما يتم الكشف عن ثغرة أمنية حرجة تؤثر على العديد من الأجهزة، تبدأ الجهات الفاعلة في مجال التهديد، والباحثون، فورًا في محاولة العثور على الأنظمة الضعيفة.

وهذا هو الحال مع الثغرة CVE-2024-4577، حيث اكتشفت مؤسسة Shadowserver بالفعل عناوين IP متعددة تقوم بمسح الخوادم الضعيفة. 

تعود ثغرة CVE-2024-4577 إلى خطأ في التعامل مع تحويلات ترميز الأحرف، وتحديداً ميزة "Best-Fit" على نظام Windows عندما يتم استخدام PHP في وضع CGI mode.

يشرح استشاري من DevCore قائلاً: "أثناء تنفيذ PHP، لم يلاحظ الفريق ميزة Best-Fit لتحويل التشفير داخل نظام تشغيل Windows ".

"هذا الخطأ يسمح للمهاجمين غير المصادق عليهم بتجاوز الحماية السابقة للثغرة CVE-2012-1823 بواسطة تسلسلات أحرف معينة. يمكن تنفيذ التعليمات البرمجية العشوائية على خوادم PHP عن بُعد من خلال هجوم حقن المعاملات."

هذه الثغرة تتجاوز الحمايات التي قام فريق PHP بتنفيذها في الماضي للثغرة CVE-2012-1823، والتي تم استغلالها في هجمات البرامج الضارة بعد سنوات من إصلاحها.

يشرح المحللون أنه حتى إذا لم يكن PHP مهيأ في وضع CGI، فقد تكون الثغرة CVE-2024-4577 قابلة للاستغلال طالما أن ملفات PHP التنفيذية (مثل php.exe أو php-cgi.exe) موجودة في مجلدات يمكن الوصول إليها بواسطة خادم الويب.

نظرًا لأن هذا هو الإعداد الافتراضي على XAMPP لنظام Windows، تحذر DEVCORE من أن جميع عمليات تثبيت XAMPP على نظام Windows من المحتمل أن تكون معرضة للخطر.

وفقًا لتصريحات Devcore، تؤثر ثغرة CVE-2024-4577 على جميع إصدارات PHP لنظام Windows. إذا كنت تستخدم PHP 8.0 (انتهاء الدعم)، أو PHP 7.x (انتهاء الدعم)، أو PHP 5.x (انتهاء الدعم)، فيجب عليك إما الترقية إلى إصدار أحدث أو استخدام التدابير الوقائية الموضحة أدناه.

يجب على من يستخدمون إصدارات PHP المدعومة الترقية إلى الإصدارات التي تتضمن التصحيحات: PHP 8.3.8، PHP 8.2.20، وPHP 8.1.29.

بالنسبة للأنظمة التي لا يمكن ترقيتها فورًا ولمستخدمي الإصدارات المنتهية الدعم، يوصى بتطبيق قاعدة mod_rewrite لحظر الهجمات.

إذا كنت تستخدم XAMPP ولا تحتاج إلى ميزة PHP CGI، يمكنك إيجاد  'ScriptAlias' في ملف تكوين Apache (عادةً ما يكون في 'C:/xampp/apache/conf/extra/httpd-xampp.conf') وتعليقها.

يمكن للمسؤولين التحقق مما إذا كانوا يستخدمون PHP-CGI باستخدام دالة (phpinfo) وفحص قيمة 'Server API' في الناتج.

كما يوصي DEVCORE أيضًا بأن يفكر مسؤولو النظام في الانتقال من CGI إلى بدائل أكثر أمانًا، مثل FastCGI، PHP-FPM، وMod-PHP.
 

تحذر Google من ثغرة أمنية في Firmware هواتف Pixel تم استغلالها كثغرة "Zero-Day"

 13يونيو 2024

حذرت شركة Google من ثغرة أمنية تؤثر على Firmware هواتف Pixel وقد تم استغلالها.

الثغرة ذات الخطورة العالية، المعروفة باسم CVE-2024-32896، تم وصفها بأنها مشكلة في رفع الامتياز في Firmware هواتف Pixel.

الشركة لم تشارك أي تفاصيل إضافية حول طبيعة الهجمات التي استغلت هذه الثغرة، لكنها لفتت إلى أن "هناك مؤشرات تشير إلى أن CVE-2024-32896 قد تكون تحت استغلال مستهدف محدود".

التحديث الأمني لشهر يونيو 2024 يتضمن معالجة مجموعة من الثغرات الأمنية (50 ثغرة أمنية)، حيث يتعلق خمس منها بمكونات متنوعة في رقائق Qualcomm.

تم إصلاح بعض المشكلات الملحوظة بما في ذلك مشكلة رفض الخدمة (DoS)، والعديد من الثغرات في الكشف عن المعلومات التي تؤثر على GsmSs، ACPM، وTrusty.

التحديثات متاحة لأجهزة Pixel المدعومة، مثل Pixel 5a with 5G، Pixel 6a، Pixel 6، Pixel 6 Pro، Pixel 7، Pixel 7 Pro، Pixel 7a، Pixel 8، Pixel 8 Pro، Pixel 8a، وPixel Fold.

في وقت سابق من شهر أبريل، قامت Google بحل اثنتين من الثغرات الأمنية في مكونات التحميل الأولي وfirmware (CVE-2024-29745 وCVE-2024-29748) التي استغلتها شركات التحقيق الجنائي لسرقة البيانات الحساسة.

أخطرت شركة Arm المستخدمين بثغرة أمنية متعلقة بالذاكرة (CVE-2024-4610) في برامج تشغيل Bifrost and Valhall GPU kernel التي تعرضت للاستغلال النشط.
 

تصدر VMware تصحيحات لـ Cloud Foundation، vCenter Server، وvSphere ESXi  

18 يونيو 2024

  

أصدرت VMware تحديثات لمعالجة الثغرات الحرجة التي تؤثر على Cloud Foundation، vCenter Server، وvSphere ESXi والتي يمكن استغلالها للحصول على تصعيد الامتياز وتنفيذ التعليمات عن بُعد.

قائمة الثغرات تشمل ما يلي:

• CVE-2024-37079 و CVE-2024-37080 (درجات :CVSS: 9.8) ثغرات متعددة في تجاوز التخزين المؤقت في تنفيذ بروتوكول DCE/RPC يمكن أن تسمح لمهاجم بالوصول عن بُعد إلى خادم vCenter لتنفيذ التعليمات البرمجية عن بُعد من خلال إرسال حزمة شبكية مصممة بشكل خاص.

• CVE-2024-37081 (درجة CVSS: 7.8) ثغرات متعددة في تصعيد الامتياز المحلي في VMware vCenter ناتجة عن سوء تكوين sudo يمكن لمستخدم موثق محلي بامتيازات غير إدارية استغلالها للحصول على صلاحيات root.

ليست هذه المرة الأولى التي يعالج فيها أوجه قصور في تنفيذ بروتوكول DCE/RPC، في أكتوبر 2023، قامت شركة تقديم خدمات المحاكاة الافتراضية المملوكة لشركة Broadcom بتصحيح ثغرة أمنية حرجة أخرى CVE-2023-34048، درجة (CVSS: 9.8)  التي يمكن أيضًا استغلالها لتنفيذ تعليمات برمجية عشوائية عن بُعد.

يُنسب الاكتشاف والإبلاغ عن CVE-2024-37079 وCVE-2024-37080 إلى الباحثين Hao Zheng and Zibo Li في شركة الأمن السيبراني الصينية QiAnXin LegendSec. بينما يعود اكتشاف CVE-2024-37081 إلى Matei "Mal" Badanoiu في شركة Deloitte رومانيا.

تمت معالجة جميع الثغرات الثلاث التي تؤثر على إصدارات vCenter Server 7.0 و8.0 في الإصدارات 7.0 U3r، 8.0 U1e، و8.0 U2d.

على الرغم من عدم وجود تقارير معروفة عن استغلال أي من هذه الثغرات، فإنه من الضروري أن يقوم المستخدمون بتطبيق التحديثات بسرعة نظرًا لأهميتها الحرجة.

تحذر Cisco من ثغرة في NX-OS يتم استغلالها لنشر برمجيات ضارة

1 يوليو 2024

أصلحت Cisco ثغرة في NX-OS تم استغلالها في هجمات لتثبيت ملفات ضارة للحصول على صلاحيات مستخدم بمسؤوليات Root.

ربطت شركة الأمن السيبراني Sygnia، التي أبلغت شركة Cisco بالحادثة، الهجمات بمهاجم تهديد مدعوم من الدولة الصينية يُعرف باسم " Velvet Ant".

أفاد Amnon Kushnir، مدير استجابة الحوادث في Sygnia "اكتشفت شركة Sygnia هذا الاستغلال أثناء التحقيقات الجنائية الكبرى في مجموعة التجسس السيبراني الصينية التي نتعقبها باسم Velvet Ant' '". 

"المهاجمون نجحوا في جمع بيانات اعتماد المسؤولين على مستوى المسؤول للوصول إلى Cisco Nexus switches ونشر برمجية ضارة، مما سمح لهم بالاتصال عن بُعد بالأجهزة المتعرضة، ورفع ملفات إضافية، وتنفيذ تعليمات برمجية ضارة."

أفادت Cisco أن الثغرة (التي تُتبع برقم CVE-2024-20399) يمكن استغلالها من قبل مهاجمين بامتيازات المسؤول لتنفيذ أوامر بأذونات root على أنظمة التشغيل الأساسية للأجهزة المصابة بالثغرة.

"يعود سبب هذه الثغرة إلى عدم كفاية التحقق من صحة البيانات التي تمر إلى أوامر CLI المحددة. يمكن للمهاجم استغلال هذه الثغرة من خلال تضمين إدخال مصمم كمعامل لأمر CLI المتأثر"،
الأجهزة المتأثرة تشمل عدة تبديلات تعمل ببرمجيات NX-OS الضعيفة الأمان:

• MDS 9000 Series Multilayer Switches

• Nexus 3000 Series Switches

• Nexus 5500 Platform Switches

• Nexus 5600 Platform Switches

• Nexus 6000 Series Switches

• Nexus 7000 Series Switches

• Nexus 9000 Series Switches in standalone NX-OS mode

تُمكن الثغرة الأمنية أيضًا المهاجمين من تنفيذ أوامر دون إحداث رسائل syslog للنظام، مما يسمح لهم بإخفاء علامات الاختراق على أجهزة NX-OS التي تم اختراقها.

تنصح Cisco العملاء بمراقبة وتغيير اعتمادات المستخدمين الإداريين network-admin وvdc-admin بانتظام.

يمكن للمسؤولين استخدام صفحة Cisco Software Checker لمعرفة ما إذا كانت الأجهزة في شبكتهم عرضة للاستهداف من خلال ثغرة CVE-2024-20399.

في أبريل، حذرت Cisco أيضًا من أن مجموعة قرصنة مدعومة من الدولة (التي تُتبع باسم UAT4356 وSTORM-1849) قد استغلت عدة ثغرات صفرية (CVE-2024-20353 وCVE-2024-20359) في أجهزة جدران الحماية التكيفية (Adaptive Security Appliance - ASA) ونظام الدفاع عن التهديدات (Firepower Threat Defense - FTD) منذ نوفمبر 2023 في حملة تحت اسم ArcaneDoor استهدفت شبكات الحكومات في جميع أنحاء العالم.

في ذلك الوقت، أضافت الشركة أنها وجدت أيضًا دلائل على أن القراصنة قد اختبروا وطوروا برامج استغلال لاستهداف الثغرات الصفرية منذ يوليو 2023 على الأقل.
استغلوا الثغرات لتثبيت برمجيات خبيثة غير معروفة، مما سمح لهم بالحفاظ على الثبات على أجهزة ASA وFTD التي تم اختراقها. ومع ذلك، أشارت cisco إلى أنها لم تتمكن بعد من تحديد الناقل الهجومي الأول الذي استخدمه القراصنة لاختراق شبكات الضحايا.
أعلنت Sygnia أن Velvet Ant استهدفت أجهزة F5 BIG-IP ببرمجيات خبيثة مخصصة في حملة تجسس إلكتروني. في هذه الحملة، استخدموا الوصول المستمر إلى شبكات ضحاياهم لسرقة معلومات حساسة للعملاء والمعلومات المالية لمدة ثلاث سنوات دون كشفهم.
 

ثلاث طرق أساسية يستهدفك بها مهاجمو الإنترنت

نظرة عامة
تعد هجمات الهندسية الاجتماعية، التي يخدع فيها المهاجم الأشخاص للقيام بشيء لا ينبغي لهم فعله، هي واحدة من أكثر الأساليب شيوعًا التي يستخدمها مهاجمو الإنترنت لاستهداف الأفراد. لقد استخدم هذا المفهوم النصابون و المحتالون لآلاف السنين. الجديد هو أن الإنترنت يجعل من السهل جدًا على المجرمين الإلكترونيين في أي مكان في العالم أن يتظاهروا بأنهم أي شخص يريدون واستهداف أي شخص يريدون. فيما يلي الطرق الثلاث الأكثر شيوعًا لأساليب الهندسة الاجتماعية التي يستخدمها مهاجمو الإنترنت لمحاولة خداعك والوقوع في فخهم.

التصيد الاحتيالي (Phishing) 
التصيد الاحتيالي هو أكثر الهجمات التي تعتمد على الهندسة الاجتماعية التقليدية؛ حيث يقوم مهاجمو الإنترنت بإرسال رسائل بريد إلكتروني في محاولة لخداعك وإقناعك باتخاذ إجراء لا ينبغي عليك اتخاذه. مثل الصيد في بحيرة: حيث ترمي صنارتك ولكن لم يكن لديك أي فكرة عما ستصطاده. كانت الاستراتيجية الكامنة وراء هذا التكتيك هي أنه كلما زاد عدد رسائل البريد الإلكتروني التصيدية التي يرسلها مجرمو الإنترنت، زاد عدد الأشخاص الذين وقعوا ضحية لها. أصبحت هجمات التصيد الاحتيالي اليوم أكثر تعقيدًا واستهدافًا، حيث يقوم المهاجمون السيبرانيون في كثير من الأحيان بتخصيص رسائل البريد الإلكتروني التصيدية الخاصة بهم قبل إرسالها.

التصيد الاحتيالي عبر الهاتف (Smishing)
الرسائل النصية هي جوهر التصيد الاحتيالي عبر الرسائل القصيرة (SMS)، حيث يرسل مهاجمو الإنترنت رسائل نصية إلى هاتفك المحمول عبر تطبيقات مثل iMessage، Google Messages، أو WhatsApp. هناك عدة أسباب وراء انتشار التصيد الاحتيالي عبر الرسائل النصية القصيرة. الأول، هو أن تصفية هجمات المراسلة أصعب بكثير من تصفية هجمات البريد الإلكتروني. ثانيًا، غالبًا ما تكون الرسائل التي يرسلها المهاجمون السيبرانيون قصيرة جدًا، مما يعني أن السياق قليل جدًا مما يجعل من الصعب تحديد ما إذا كانت الرسالة حقيقية أم لا. ثالثًا، غالبًا ما تكون الرسائل غير رسمية وتعتمد على الإجراءات، لذلك يعتاد الأشخاص على الاستجابة السريعة للرسائل أو التصرف بناءً عليها. أخيرًا، أصبح الأشخاص يتحسنون أكثر فأكثر في اكتشاف هجمات البريد الإلكتروني التصيدية، لذلك يتحول المهاجمون السيبرانيون ببساطة إلى طريقة جديدة، وهي المراسلة.

التصيد الاحتيالي الصوتي  (Vishing)
التصيد الاحتيالي الصوتي هو تكتيك يعتمد على الهندسة الاجتماعية باستخدام مكالمة هاتفية أو رسالة صوتية بدلاً من البريد الإلكتروني أو الرسائل النصية. هجمات التصيد الاحتيالي الصوتي تستغرق وقتًا أطول بكثير للتنفيذ، حيث يتحدث المهاجمون مباشرة ويتفاعلون مع الضحية. ومع ذلك، فإن هذه الأنواع من الهجمات أكثر فعالية بكثير، حيث يكون من الأسهل بكثير خلق مشاعر قوية عبر الهاتف، مثل الشعور بالإلحاح. بمجرد أن يحصل المهاجم الإلكتروني على مكالمة معك، لن يدعك تترك الهاتف حتى يحصل على ما يريد.

الكشف وإيقاف هذه الهجمات
من حسن الحظ أنه لا يهم أي من الطرق الثلاثة يستخدمها مهاجمو الإنترنت، هناك دلائل شائعة يمكنك اكتشافها:

• الإلحاح: أي رسالة تثير شعورًا هائلًا بالطوارئ، حيث يحاول المهاجمون من خلالها أن يدفعوك لاتخاذ إجراء سريع وارتكاب خطأ. مثال على ذلك رسالة تدعي أنها من الحكومة، تفيد بأن الضرائب الخاصة بك متأخرة، وإذا لم تدفع على الفور فسوف ينتهي بك الأمر في السجن.

• الضغط: أي رسالة تضغط على الموظفين لتجاهل أو تجاوز سياسات وإجراءات الأمان الخاصة بالشركة.

• الفضول: أي رسالة تثير فضولًا هائلًا أو تبدو جيدة للغاية لتكون صحيحة. مثل طرد لم يتم استلامه أو إشعار بأنك تتلقى استردادًا من أمازون.

• النبرة: أي رسالة تبدو كأنها من شخص تعرفه مثل زميل عمل، لكن الكلمات لا تبدو وكأنها منهم، أو أن النبرة العامة أو التوقيع غير صحيح.

• المعلومات الحساسة: أي رسالة تطلب معلومات حساسة للغاية مثل كلمة المرور أو بطاقة الائتمان.

• عامة: رسالة تأتي من منظمة موثوقة ولكن تستخدم تحية عامة مثل "عزيزي العميل". إذا كان لدى أمازون حزمة لك أو كان لدى خدمة الهاتف مشكلة في الفواتير، فإنهم يعرفون اسمك.

• عنوان البريد الإلكتروني الشخصي: أي بريد إلكتروني يبدو أنه من منظمة أو مورد أو زميل عمل تعرفه، لكنه يستخدم عنوان بريد إلكتروني شخصي مثل gmail.com@ أو hotmail.com@.

من خلال البحث عن هذه الدلائل الشائعة، يمكنك الوصول بشكل كبير إلى حماية نفسك.